De digitale dreigingswereld blijft zich razendsnel ontwikkelen. De gebeurtenissen van gisteren laten zien hoe complex en veelzijdig het landschap is, van nieuwe hacktivistische allianties en grootschalige ransomware aanvallen tot kritieke kwetsbaarheden, AI gerelateerde incidenten en verstoringen van vitale infrastructuur.
Colt gehackt, Mechelse IT’er ontmaskerd en jongeren in gevaar door online groepering
Het afgelopen etmaal werden meerdere grote incidenten gemeld. Het telecombedrijf Colt, leverancier van netwerk- en clouddiensten voor klanten wereldwijd (ook in België en Nederland) werd getroffen door een ransomware aanval. De aanval, uitgevoerd via een kwetsbare SharePoint server, werd opgeëist door de WarLock groep, die claimt meer dan een miljoen documenten te hebben buitgemaakt, mogelijk inclusief klantgegevens. Hoewel de server snel gepatcht werd, was deze al gecompromitteerd, wat opnieuw het belang benadrukt van snelle respons op bekende kwetsbaarheden.
In België zorgde de zaak rond de Mechelse informaticaconsulent Hans P. voor veel onrust. Hij wordt beschuldigd van het maken en verspreiden van naaktfoto’s van meer dan 200 meisjes, waaronder minderjarigen, via het darkweb. Het incident legt pijnlijk bloot hoe technologie misbruikt kan worden voor grootschalige privacy inbreuken en seksuele uitbuiting. Hoewel dit lokaal speelt, heeft de zaak ook implicaties voor Nederland, waar vergelijkbare dreigingen aanwezig zijn.
Ook werd gisteren bekendgemaakt dat autoriteiten in Oostenrijk, Duitsland en Nederland een gecoördineerde actie hebben uitgevoerd tegen een crimineel netwerk dat explosieve geldautomaat aanvallen uitvoerde. Vier verdachten, waaronder twee Nederlanders, zijn aangehouden. Bij invallen werden voertuigen, geld, mobiele telefoons en explosieven in beslag genomen. Het incident toont aan hoe criminele organisaties grensoverschrijdend opereren en benadrukt het belang van internationale samenwerking.
Een ander zorgwekkend fenomeen is de internationale online beweging “Com”, die zich richt op kwetsbare jongeren via platforms als Roblox en Minecraft. Deze groepering dwingt slachtoffers tot seksueel misbruik, geweld of zelfbeschadiging, vaak via versleutelde kanalen zoals Telegram en Discord. Ook in Nederland zijn al gevallen gemeld waarbij jongeren betrokken zijn, wat de urgentie vergroot om ouders en scholen te informeren over deze digitale dreiging.
Kritieke Docker kwetsbaarheid, Linux aanvallen en gebrek aan 2FA vergroten risico op datalekken
De afgelopen dag kwamen meerdere kritieke kwetsbaarheden aan het licht. De meest verontrustende betrof Docker Desktop (CVE-2025-9074), waarbij aanvallers Windows hosts volledig kunnen overnemen door kwaadaardige containers te draaien. Zelfs met ingeschakelde beveiliging zoals Enhanced Container Isolation (ECI) blijft de aanval effectief. De kwetsbaarheid heeft een CVSS score van 9,3 en maakt het mogelijk om systeem DLL’s te overschrijven en administratorrechten te verkrijgen. Docker bracht versie 4.44.3 uit, en een snelle update is cruciaal om misbruik te voorkomen.
Ook Linux systemen kwamen in beeld door een aanval van de Pakistaanse APT groep APT36. Deze groep gebruikt misleidende .desktop bestanden, verstopt in zip bestanden die als pdf lijken, om malware te verspreiden. Na openen wordt een kwaadaardig ELF bestand gedownload, dat persistente toegang geeft en gevoelige gegevens kan stelen. Omdat Linux steeds vaker wordt gebruikt in overheidsinstellingen en bedrijfsomgevingen in Nederland en België, wordt extra alertheid geadviseerd.
Daarnaast neemt het misbruik van de Windows Taakplanner toe. Aanvallers creëren geplande taken die zich voordoen als legitieme services, zoals “TelemetryUpdater”, en kunnen zo onopgemerkt langdurige toegang behouden. Omdat er geen complexe exploits nodig zijn, zijn deze aanvallen lastig te detecteren en vereisen ze nauwgezette monitoring van systeemlogs.
Uit Belgisch onderzoek blijkt bovendien dat minder dan de helft van de bedrijven (46,4%) gebruikmaakt van tweestapsverificatie (2FA) of multifactorauthenticatie (MFA) op externe verbindingen. Dit is zorgwekkend, aangezien juist het ontbreken van 2FA een belangrijke oorzaak is van veel datalekken. Het Centrum voor Cybersecurity België dringt erop aan dat organisaties 2FA verplicht implementeren, met name voor e-mail- en cloudplatformen.
Van Lummastealer tot Shadow AI, zo evolueren cyberdreigingen razendsnel
De afgelopen dag is een duidelijke trend zichtbaar richting geavanceerdere malwarecampagnes en het misbruiken van vertrouwde software en platformen. Zo werd een nieuwe variant van Lummastealer ontdekt, verspreid via een Windows DLL sideloader. Het malwarebestand “iviewer.dll” lijkt legitiem, maar wordt gebruikt om gevoelige gegevens te stelen. Deze techniek toont de creativiteit waarmee aanvallers misbruik maken van bekende softwarecomponenten.
Onderzoekers ontdekten daarnaast een nieuwe malwarecampagne gericht op routers van Cisco, TP Link, DrayTek en andere merken. De malware, Gayfemboy, is gebaseerd op de Mirai botnetlijn en gebruikt ongeauthenticeerde command injectie om roottoegang te verkrijgen en laterale bewegingen in netwerken mogelijk te maken. Omdat deze aanval zich wereldwijd richt op productie-, media- en overheidssectoren, is strikte netwerksegmentatie essentieel.
Ook Android gebruikers zijn opnieuw doelwit. Via nep Google Play pagina’s worden slachtoffers verleid om kwaadaardige APK bestanden te downloaden die de SpyNote RAT bevatten. Deze malware kan camera’s en microfoons bedienen, tweefactorauthenticatiecodes stelen en schermen manipuleren. Door versleuteling en obfuscatie wordt traditionele detectie bemoeilijkt, waardoor deze campagne een groeiende bedreiging vormt.
Verder is er een forse toename zichtbaar in malvertisingcampagnes. Trojanized PDF editors installeren de malware ManualFinder, die geïnfecteerde apparaten omzet in proxy nodes. Daarnaast verspreiden nep YouTube downloadsites Proxyware malware via een tool genaamd “WinMemoryCleaner”, die netwerkbandbreedte van slachtoffers steelt voor affiliateprogramma’s. Dit toont hoe ogenschijnlijk onschuldige software steeds vaker onderdeel wordt van criminele infrastructuren.
Bij AI gerelateerde dreigingen waren er twee opvallende ontwikkelingen. Ten eerste een incident rond Shadow AI, medewerkers gebruiken ongeautoriseerde AI tools, wat het risico verhoogt dat bedrijfsdata onbedoeld uitlekt. Platforms zoals Cloudflare introduceren inmiddels oplossingen om dit gebruik te monitoren en blokkeren. Ten tweede kwam gisteren een tragisch incident aan het licht waarin een AI chatbot van Meta betrokken was. De Thaise gebruiker Thongbue Wongbandue (Bue) dacht een echte vrouw te ontmoeten, maar bleek in contact te staan met een AI. Tijdens zijn reis naar de vermeende ontmoeting kwam hij om het leven. Dit roept ernstige vragen op over de ethiek en veiligheid van AI chatbots die menselijke relaties simuleren.
Noord-Korea, China en hacktivisten, dreiging groeit in Europa
De geopolitieke spanningen in cyberspace werden gisteren extra zichtbaar. Een groot datalek bij de Noord-Koreaanse Kimsuky APT groep onthulde gedetailleerde informatie over hun cyberoperaties, waaronder rootkits, gestolen GPKI certificaten en aangepaste Cobalt Strike beacons. Deze inzichten bevestigen de verfijning van Noord-Koreaanse spionageactiviteiten.
Daarnaast zagen onderzoekers een stijgende trend in aanvallen van Chinese APT groepen. Deze actoren gebruiken commerciële proxy- en VPN-diensten om hun infrastructuur te maskeren en detectie te omzeilen. Door HTTPS verkeer na te bootsen, worden aanvallen op organisaties in Zuid-Korea en Taiwan nauwelijks opgemerkt. Bedrijven in Nederland en België moeten rekening houden met dezelfde tactieken, aangezien dergelijke campagnes zich eenvoudig naar Europa kunnen verplaatsen.
Tot slot vallen de nieuwe hacktivistische allianties op. De groepen Hider_Nex en KGB bundelden hun krachten onder de naam “Ragnarok”, met de belofte een “onstuitbare kracht” te vormen. Kort daarop kondigden ook KGB en Dark Storm een alliantie aan, met een soortgelijke boodschap, maximale impact en disruptie in de digitale wereld. Deze samenwerkingen kunnen leiden tot grootschaliger aanvallen en verhoogde dreigingen in West-Europa.
IT fout bij NS en stroomstoring Leeuwarden leggen kritieke infrastructuur plat
Naast cyberdreigingen waren er gisteren ook meerdere verstoringen in fysieke infrastructuur. NS kampte met een grote IT storing, veroorzaakt door een fout bij het verhuizen van DNS records. De reisplanner en kaartverkoopsystemen lagen tijdelijk stil, wat leidde tot vertragingen en reizigersoverlast. Daarnaast werd Leeuwarden getroffen door een stroomstoring nadat een schip stroomkabels raakte. Ongeveer 20.000 tot 30.000 huishoudens zaten urenlang zonder elektriciteit, met grote gevolgen voor lokale bedrijven en dienstverlening.
Afsluiting
De gebeurtenissen van gisteren laten een zorgwekkend beeld zien, hacktivistische samenwerkingen, kritieke kwetsbaarheden, steeds geavanceerdere malware en AI gedreven risico’s versterken elkaar in hoog tempo. Het speelveld wordt complexer, dynamischer en grensoverschrijdender. Voor organisaties en individuen in Nederland en België is constante waakzaamheid cruciaal.
Dit was het voor vandaag! Tot morgen! En als je het interessant vond, stuur het dan door naar je vrienden en collega’s.
Bron: Cybercrimeinfo (ccinfo.nl)
Het volledige overzicht kun je hier vinden bij 'Nieuws per categorie'.
Altijd op de hoogte
Ontvang dagelijks het Cyber Journaal tussen 12:00 en 14:00 uur (behalve op zondag). Schrijf je in en ontvang het automatisch in je mailbox:
Door de drukte kan het wat langer duren voordat het inschrijfformulier wordt geladen.
❤️ Blijf alert, blijf veilig, en blijf up to date met het Dagelijks Cyber Journaal van Cybercrimeinfo. En dit alles gratis! Doneren mag.